Pregunta: Introducción El debate sobre la divulgación "responsable" de vulnerabilidades de software ha sido un pilar en el espacio de seguridad. En 2015, se agregó nuevo combustible al fuego cuando Google reveló una vulnerabilidad de Microsoft Windows, junto con un código de explotación, dos días antes del parche programado. (El código de explotación es el tramo

Introducción

El debate sobre la divulgación "responsable" de vulnerabilidades de software ha sido un pilar en el espacio de seguridad. En 2015, se agregó nuevo combustible al fuego cuando Google reveló una vulnerabilidad de Microsoft Windows, junto con un código de explotación, dos días antes del parche programado. (El código de explotación es el tramo de código que los piratas informáticos pueden explotar para piratear software). Y en 2018, el debate volvió a estar en primer plano con los infames problemas de chips Intel Spectre y Meltdown.

El conflicto Google-Microsoft destaca los problemas que pueden surgir entre las empresas en torno a la divulgación. Las fallas de Spectre y Meltdown muestran cómo las vulnerabilidades pueden enfrentar a las empresas contra el gobierno y los consumidores de EE. UU.

Debate de divulgación de la empresa contra la empresa

En 2015, el error fue encontrado por el equipo de investigación de seguridad interno de Google, que busca vulnerabilidades en el software de Google, así como en el de otros proveedores, incluido Microsoft. Al encontrar una vulnerabilidad, Google se adhiere a una política estricta de 90 días: se notifica a los proveedores sobre el error y se publica automáticamente una divulgación pública 90 días después, independientemente de si el error se ha solucionado.

Microsoft solicitó inicialmente una extensión más allá de los 90 días, que fue denegada por Google, al igual que una solicitud para extender la fecha de divulgación al primer "martes de parches" del mes (el segundo martes del mes y la fecha de lanzamiento preferida para los parches). para desarrolladores).

Microsoft criticó a Google en una publicación de blog, acusando la decisión de la compañía de ser una oportunidad de "capturar" y a expensas de los usuarios, que estuvieron en riesgo durante los dos días entre la divulgación y el lanzamiento del parche. Microsoft reiteró su apoyo a la "Divulgación coordinada de vulnerabilidades", que exige que los investigadores de seguridad trabajen en estrecha colaboración con los desarrolladores para garantizar que se publique una solución antes de la divulgación pública.

Google y los partidarios de políticas de divulgación similares argumentan que las fechas de divulgación firmes evitan que los desarrolladores escondan las vulnerabilidades debajo de la alfombra y deberían lograr un equilibrio entre el derecho del público a saber y brindarle al desarrollador la oportunidad de solucionar el problema. Muchos adoptan una postura aún más dura y proponen que la divulgación pública inmediata es la mejor política.

Poco después de este incidente, Google lanzó una actualización adicional sobre tres vulnerabilidades de Microsoft.

Preguntas de discusión

• ¿Qué deberían haber hecho Google y Microsoft de manera diferente, en todo caso?

• ¿La publicación puso innecesariamente en riesgo a los usuarios o, a largo plazo, lo mejor para los usuarios es que Google se ciña a su política de divulgación?

• ¿Es justa la firme política de 90 días de Google? ¿O debería estar dispuesto a ajustarse dependiendo de la situación?

• ¿Microsoft respondió adecuadamente? ¿Apegarse al "martes de parches" es una razón suficiente para esperar a lanzar el parche?

• ¿Debería Google haber publicado el código de explotación?

• ¿Qué obligaciones tienen los investigadores de seguridad, o son libres de publicar su trabajo como les plazca?